전체 글 (12) 썸네일형 리스트형 Splunk 기초 - Where 절의 효율적 사용 스플렁크에서 where 은 search와 함께 원하는 데이터만 필터링해서 보여주는 가장 기초적인 방식이다. 이 포스트에서는 where의 기초적인 사용법을 다룬다. 보통 다음과 같이 사용한다. |where 컬럼명 = "원하는 값" |where 컬럼명 != "원하지 않는 값" 기초적인 명령어지만, 이렇게 검색할 경우 딱 한가지 값만 필터링 가능 하다. 두 가지 값을 AND 나 OR 조건으로 필터링하고 싶다면 직관적으로 사용하면 된다. |where 컬럼명 = "원하는 값1" OR 컬럼명 = "원하는 값2" |where 컬럼명 = "원하는 값1" AND 컬럼명 = "원하는 값2" 사실 AND는 별도로 사용할 필요 없이 다음과 같은 조건 설정이 가능하다. |where 컬럼명1 = "원하는 값" 컬럼명2 = "원하.. Splunk 기초 - Search 절을 이용한 필터링 스플렁크에서 search 명령어는 가장 기본적인 명령어로 근본적으로는 where와 같은 필터링 명령어로 볼 수 있다. search는 검색창에 아무 명령어를 넣지 않아도 기본적으로 들어가는 기본 명령어다. 따라서 sourcetype=값1 host=호스트이름 위와 같은 구문을 검색창에 넣어서 실행하면 정상적으로 실행되지만 |search sourcetype=값1 host=호스트이름 실제로는 위와 같은 구문이 실행된다. 하지만 해당 기능은 쿼리의 맨 앞에서만 적용되므로, 이미 나온 검색결과의 필터링을 위해 쿼리 뒷부분에 붙일 때는 search를 명시해야한다. 보통은 기본적으로 처음부터 search 명령어가 들어가기 때문에 평소엔 그냥 그렇구나 하고 넘어갈 수 있지만, 외부에서 REST API를 통해 동작시키거나.. Splunk 한 데이터모델의 여러 데이터셋을 간단하게 검색하고 싶어요! 스플렁크의 데이터모델 속, 데이터셋을 검색하고자 할때 사용하는 쿼리문은 다음과 같다 | datamodel 데이터모델명 데이터셋명 search ## 또 다른 방식 |from datamodel:데이터모델명.데이터셋명 같은 데이터 모델의 여러 데이터셋을 검색하고 싶다고 |datamodel 데이터모델명 데이터셋명, 데이터셋명 search |datamodel 데이터모델명 (데이터셋명 OR 데이터셋명) search |datamodel 데이터모델명 데이터셋명* search 위와 같은 시도를 할 수 있으나 datamodel 명령어는 다중 데이터셋 검색을 지원하지 않는다. from datamodel 쿼리문도 마찬가지다. 그렇다고 |datamodel 데이터모델명 데이터셋명1 append [|datamodel 데이터모델명 .. 이전 1 2 3 4 다음